Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Fabian A. Scherschel 76

Forscher demontieren "kaputten" Krypto-Standard P1735 der IEEE

IBM-Chip

Der Standard P1735 der IEEE soll Chip-Designs vor unbefugten Augen schützen. Stattdessen gibt seine schlecht durchdachte Krypto mitunter alle Geheimnisse preis und ermöglicht den Einbau von Hardware-Trojanern.

Bei der Entwicklung neuer Hardware, vor allem bei System-on-a-Chip-Entwürfen, gehört es dazu, Komponenten anderer Hersteller zu lizenzieren und ins eigene Design zu integrieren. Damit Hersteller ihre selbst entworfenen Komponenten an Lizenznehmer abgeben können, ohne befürchten zu müssen, dass diese ihre Designs kopieren oder Wissen über den Aufbau der Komponenten extrahieren, hat die Ingenieursvereinigung IEEE unter anderem den Standard P1735 entwickelt. Mit Hilfe dieses Standards und kompatibler Software können die Pläne für proprietäre Komponenten so verschlüsselt werden, dass der Empfänger sie verbauen kann, aber nicht an Details der Umsetzung herankommt. Allerdings weist der P1735-Standard signifikante Krypto-Schwächen auf.

Die NSA wird's freuen

"Der P1735-Standard empfiehlt eine Menge problematische kryptografische Designentscheidungen, welche dazu führen, dass die verschlüsselten Geschäftsgeheimnisse vielen unterschiedlichen Angriffen zum Opfer fallen können. Wir beschreiben in dieser Veröffentlichung einige dieser Angriffe, es gibt aber wahrscheinlich mehr davon. Außerdem ist der Standard vage formuliert und enthält Fehler, was einige sicherheitsrelevante Spezifikationen und Behauptungen angeht." – Chhotaray et al.

Herausgefunden haben das fünf Forscher der Universität von Florida. In ihrer Veröffentlichung "Standardizing Bad Cryptographic Practice" beschreiben sie Schwachstellen im P1735-Standard, die ausgenutzt werden können, um an die Plaintext-Informationen der verschlüsselten Betriebsgeheimnisse zu gelangen. Ihr Fazit: "IEEE P1735 is broken (and potentially dangerous)."

Außerdem schaffen sie es, Teile der Baupläne zu verändern, ohne dass der Empfänger dies bemerken würde. Das ließe sich etwa dazu nutzen, in Chip-Designs versteckte Hintertüren oder gar Hardware-Trojaner einzuschmuggeln. Geschieht dies auf dem Weg vom Lizenzgeber zum Hersteller der Hardware, wäre es möglich, ein Design zu manipulieren, ohne dass eine der beiden Parteien etwas davon merkt – eine Einladung an Geheimdienste wie die NSA, Wanzen direkt in der Hardware zu verstecken.

AES-CBC und Oracle Attacks

Ein Hauptproblem liegt darin, dass der Standard AES-CBC zur Verschlüsselung von Daten vorsieht, aber keinerlei Empfehlungen dazu macht, welcher Padding-Modus verwendet werden soll. Das führt laut den Forschern in der Praxis oft dazu, dass Entwickler, die den Standard umsetzen, die Verschlüsselung unsicher implementieren. Das ist ein bekanntes Problem mit AES-CBC. Schwerer wiegt allerdings, dass die standardisierte Verschlüsselung über Orakel-Angriffe ausgehorcht werden kann. Das lässt sich laut den Forschern nicht durch einfache Änderungen in Software-Umsetzungen beheben.

Insgesamt haben die Forscher sieben verschiedene Sicherheitslücken gefunden und an so ziemlich alle namhaften Hardwarehersteller (von AMD über Cisco, Intel, Qualcomm, Samsung und weitere) gemeldet:

Die Forscher betonen in ihrer Abhandlung, dass die Probleme zu mannigfaltig und tiefgehend sind, um sie mit einfachen Änderungen am Standard zu beheben. Ihrer Meinung nach wird die IEEE nicht darum herumkommen, den P1735-Standard grundlegend zu überarbeiten.

Die Veröffentlichung der Wissenschaftler zum Nachlesen: Standardizing Bad Cryptographic Practice: A teardown of the IEEE P1735 standard for protecting electronic-design intellectual property, Chhotaray et al. (fab)

76 Kommentare

Themen:

Anzeige
  1. Critical Patch Update: Oracle lässt ein weiteres Monster-Updatepaket auf die Welt los

    Critical Patch Update: Oracle lässt ein weiteres Monster-Updatepaket auf die Welt los

    Oracle stopft insgesamt 308 Sicherheitslücken in über 90 verschiedenen Produkten, so viele auf einmal wie nie zuvor. Für Admins bedeutet das jetzt eine Menge Arbeit.

  2. Patchday: Internet Explorer, Office und Windows im Visier von Hackern

    Patchday: Microsoft Office und Windows im Visier von Hackern

    Nach dem Notfall-Patch für Windows stellt Microsoft zum gewohnten Termin weitere als kritisch eingestufte Sicherheitsupdates bereit. Angreifer nutzen derzeit diverse Lücken aktiv aus.

  3. BlueBorne: Bluetooth-Schwachstellen auch in Amazon Echo und Google Home

    BlueBorne: Bluetooth-Schwachstellen auch in Amazon Echo und Google Home

    Wie Millionen anderer Geräte sind auch Amazons und Googles digitale Assistenten via Bluetooth angreifbar: Die BlueBorne-Schwachstellensammlung ermöglicht mitunter die komplette Systemübernahme. Zum Glück gibt es Einschränkungen – und Updates.

  4. Sicherheitsupdates: Juniper kümmert sich um Junos OS und Junos Space

    Sicherheitsupdates: Juniper kümmert sich um Junos OS und Junos Space

    Juniper schließt zum Teil kritische Sicherheitslücken im Router-Betriebssystem Junos OS. Darunter etwa die schon seit Ende 2016 bekannte Dirty-Cow-Schwachstelle.

  1. Kryptographie in der IT - Empfehlungen zu Verschlüsselung und Verfahren

    Der Krypto-Wegweiser für Nicht-Kryptologen

    Kryptographie ist ein wichtiger Baustein moderner IT – Sicherheit, Vertraulichkeit und Privatsphäre hängen davon ab. Der folgende Krypto-Wegweiser gibt einen kompakten Überblick zu den aktuell relevanten Verfahren.

  2. Dateien verschlüsseln am Mac - so geht's

    Du möchtest Ordner mit sensiblen Dateien auf deinem Mac verschlüsseln? Dann folge unserer Schritt-für-Schritt-Anleitung.

  3. APFS – Apple File System: Dateisystem für iPhone, iPad und Mac

    APFS Apple File System

    Die Tage von HFS+ sind gezählt, der Nachfolger APFS steht bereits in den Startlöchern: iOS 10.3 bringt das Apple-Dateisystem auf iPhone und iPad. Es soll letztlich alle Geräte abdecken – von der Apple Watch bis zum Mac Pro – und bildet die Grundlage für neue Funktionen.

  1. Kommentar: Firefox ist wieder cool

    Kommentar: Firefox ist wieder cool

    Mit großem Tamtam hat Mozilla Firefox Quantum veröffentlicht. Ein längst überfälliges Update: Endlich kann es der Browser mit seinem ärgsten Rivalen aufnehmen. (Nicht nur) Chrome-Nutzer sollten einen Blick riskieren und Firefox eine (zweite) Chance geben.

  2. Zweibeiniger Roboter Atlas schafft Salto rückwärts

    Mann schmeißt Atlas um

    Eine neue Version des aufrecht gehenden Roboters Atlas zeigt akrobatische Talente: Kisten sind kein Hindernis mehr, und sogar ein Salto aus dem Stand gelingt – meistens jedenfalls.

Anzeige